Passer au contenu principal

Documentation Index

Fetch the complete documentation index at: https://auth0-feat-tab-ia.mintlify.app/llms.txt

Use this file to discover all available pages before exploring further.

Nous encourageons activement notre clientèle à adopter de nouveaux comportements pour toutes les fonctionnalités déconseillées énumérées ci-dessous. Veuillez les passer en revue et vous assurer que vous avez pris toutes les mesures nécessaires pour éviter toute interruption de service. Vous pouvez également consulter les journaux des locataires pour détecter d’éventuelles erreurs liées à l’utilisation de fonctionnalités déconseillées. Pour en savoir plus, consulter Rechercher les erreurs relatives aux fonctionnalités déconseillées dans les journaux. Si vous avez des questions, consultez la Communauté ou créez un ticket dans notre centre d’assistance. Pour en savoir plus, vous pouvez également consulter Processus de migration.

Sécurité renforcée pour les applications tierces

Déconseillée : 23 avril 2026 Fin de vie : 23 octobre 2026 Auth0 met en place des mesures de sécurité renforcées pour les applications tierces, conformes aux pratiques exemplaires OAuth 2.1. À compter de la date de fin de vie, lorsque vous créerez une nouvelle application tierce via POST /api/v2/clients sans préciser de third_party_security_mode, Auth0 appliquera automatiquement des contrôles de sécurité renforcés (strict). Ce changement ne concerne que les locataires qui utilisaient des applications tierces avant le 23 avril 2026 et n’a d’incidence que sur les applications nouvellement créées. Vos applications tierces existantes continueront de fonctionner comme elles le font actuellement, sans qu’aucune modification ne soit nécessaire. Des contrôles renforcés permettent une autorisation explicite pour l’API, l’utilisation obligatoire de PKCE et un ensemble de fonctionnalités ciblées, conformes à la norme OAuth 2.1 et aux pratiques exemplaires en matière de sécurité. Pour vous préparer à ce changement, consultez Migration vers la sécurité renforcée pour les applications tierces afin de vérifier si ce changement vous concerne, de configurer les autorisations API par défaut et de choisir votre stratégie de migration.

Gestion héritée des clients activés pour une connexion

Déconseillée : 13 janvier 2026 Fin de vie : 13 juillet 2026 Le champ enabled_clients, au sein de l’objet de connexion de Management API, est déconseillé dans les cas suivants : En remplacement de la fonctionnalité déconseillée, deux nouveaux points de terminaison de Management API sont désormais proposés : Afin de vous préparer à ce changement et de garantir le bon fonctionnement de vos intégrations, consultez Migration de la gestion des clients activée vers des points de terminaison de connexion dédiés pour vérifier si vous êtes concerné et migrer vers les nouveaux points de terminaison.

Suites de chiffrement TLS 1.2 faibles

Déconseillée : 10 décembre 2025 Fin de vie : 10 juin 2026 Après la date de fin de vie, l’utilisation de suites de chiffrement modernes sera obligatoire pour toute connexion aux points de terminaison du service Auth0 et aux applications Web. Nous allons supprimer la prise en charge des suites de chiffrement TLS 1.2 qui n’offrent plus un niveau de sécurité suffisant pour protéger les communications réseau. Plus précisément, la modification des suites de chiffrement prises en charge concerne : *Les domaines par défaut des locataires de nuages publics et privés; par exemple, [tenant_name].eu.auth0.com.. *Les domaines personnalisés des locataires de nuages publics et privés. *Les applications Web liées aux services, telles que le Tableau de bord (manage.auth0.com) ou Marketplace (marketplace.auth0.com). *Le domaine personnalisé Auth0. La liste des suites de chiffrement abandonnées se trouve ci-dessous. La liste contient le code hexadécimal unique qui identifie chaque algorithme de chiffrement ainsi que son nom IANA; pour déterminer les noms OpenSSL correspondants, veuillez suivre les liens vers ciphersuite.info. Suites de chiffrement TLS 1.2 dont la suppression est prévue :

Invite à saisir le nom de l’organization lorsque la SSO n’est pas utilisée

Déconseillée : 31 octobre 2025 Fin de vie : 1 mai 2026 Les flux de connexion lancés dans le contexte d’applications clientes associées à des utilisateurs professionnels (organization_usage=require) et configurés pour demander le nom de l’organization au début du flux de connexion (organization_require_behavior=pre_login_prompt) prendront en compte une session authentifiée existante. Auparavant, le service demandait à l’utilisateur d’indiquer le nom de l’organization, après quoi celui-ci devait procéder à la connexion. Par exemple, un utilisateur disposant d’un compte protégé par mot de passe devait saisir à nouveau ses identifiants, même si une session authentifiée était valide pour l’organization sélectionnée.

Connexion non confirmée avec des redirections vers un URI de rappel non vérifiable

Déconseillée : 28 octobre 2025 Fin de vie : 28 avril 2026 Auth0 recommande de passer, dans la mesure du possible, à des rappels basés sur HTTPS utilisant les Android App Links et les Apple Universal Links pour toutes les applications natives utilisant le flux de code d’autorisation, afin de renforcer la sécurité et de réduire les risques d’usurpation d’identité d’application et d’attaques par hameçonnage. De plus, Auth0 met en place une nouvelle invite de confirmation de connexion pour les requêtes d’authentification qui utilisent des schémas d’URI personnalisés ou des URI de bouclage comme URL de rappel. Ce message s’affichera dans les cas où une réponse a déjà été renvoyée sans intervention de l’utilisateur. Consulter Migrer vers un URI de rappel non vérifiable avec confirmation de l’utilisateur final pour en savoir plus.

Validation du public pour l’authentification JWT avec clé privée

Déconseillée : 6 octobre 2025 Fin de vie : 8 avril 2025 Lors de la validation des assertions JWT utilisées pour l’authentification des applications clientes, Auth0 imposera des exigences plus strictes et n’acceptera que l’identificateur de l’émetteur d’un locataire sous la forme d’une seule chaîne JSON dans la demande aud (public). La possibilité de soumettre une demande aud à l’aide de l’une des méthodes énumérées ci-dessous est déconseillée, et le service cessera de les prendre en charge après la date de fin de vie :
  • Un tableau JSON de chaînes de caractères, dans la mesure où l’une des entrées contient un identificateur d’émetteur ou une URL de point de terminaison valide pour le locataire et le point de terminaison respectifs auprès desquels le client s’authentifie.
  • Une chaîne JSON unique représentant une URL de point de terminaison valide pour le locataire concerné et le point de terminaison auprès duquel le client s’authentifie.
Avant la date de fin de vie, les connexions d’entreprise OIDC configurées pour utiliser un JWT avec clé privée dans les requêtes authentifiées adressées au fournisseur d’identité en amont pourront autoriser l’utilisation de l’identificateur d’émetteur applicable, représenté sous forme de chaîne JSON dans la demande « aud » incluse dans les assertions JWT.

Attributs étendus dans les connexions à l’API d’identité Microsoft Entra ID

Déconseillée : 18 juin 2025 Fin de vie : 1er septembre 2025 En raison de la dépréciation et du retrait prévu d’Azure AD Graph, Auth0 ne prendra plus en charge l’activation des options liées aux attributs étendus dans les connexions Azure Active Directory (strategy=waad) configurées pour utiliser l’API d’identité Azure Active Directory (v1). Si vous avez reçu une notification par courriel, il se peut qu’un ou plusieurs de vos locataires disposent d’une connexion Microsoft Azure Active Directory ciblant l’API d’identité Azure Active Directory (v1) et configurée pour récupérer des attributs étendus, et qu’ils soient potentiellement concernés. Vous devez passer en revue les locataires concernés. Pour les connexions qui dépendent de la fonctionnalité déconseillée, vous avez deux options :
  • Mettre à jour les connexions pour qu’elles ciblent la plateforme d’identités Microsoft (v2), de sorte que les points de terminaison Microsoft Graph soient utilisés à la place d’Azure AD Graph, désormais déconseillé, lors de la récupération des informations relatives aux attributs étendus.
  • Désactiver toutes les options relatives aux attributs étendus.
Bien que la deuxième option ci-dessus vous permette de conserver des connexions ciblant l’API d’identité Azure Active Directory (v1) si les informations supplémentaires ne sont pas nécessaires, il est généralement recommandé de cibler la plateforme d’identités Microsoft (v2). Pour en savoir plus, consulter Connectez votre application à Microsoft Azure Active Directory. Pour plus d’informations sur cette fonctionnalité déconseillée, contactez l’assistance Auth0.

Extension des journaux Webtask en temps réel

Déconseillée : 18 juin 2025 Fin de vie : 16 septembre 2025 L’extension des journaux Webtask en temps réel est déconseillée et sa fin de vie (EOL) est prévue après le 16 septembre 2025. En remplacement, la fonctionnalité Actions Real-time Logs est désormais directement accessible depuis Auth0 Dashboard. L’extension ne sera plus proposée pour les nouvelles installations, mais les utilisateurs qui l’ont déjà installée pourront continuer à y accéder jusqu’à la fin de vie (EOL) prévue.

Supprimer l’accès à certaines propriétés des requêtes d’événement dans les actions

Déconseillée : 18 juin 2025 Fin de vie : 16 septembre 2025 Auth0 limitera l’accès aux noms de propriétés supplémentaires au sein des objets event.request.query et event.request.body lors de l’exécution d’actions pour les déclencheurs post-login et credentials-exchange. Seuls les locataires identifiés comme utilisant des actions pour référencer des propriétés de requête visées par la restriction prévue conserveront l’accès jusqu’au 16 septembre 2025. Le service limitera les noms de propriétés suivants dans les objets liés à la requête :
  • auth_session
  • authn_response
  • client_secret
  • client_assertion
  • refresh_token

Actions multiples pour les déclencheurs liés aux fournisseurs de téléphonie et de messagerie électronique personnalisés.

Déconseillée : 16 juin 2025 Fin de vie : 16 décembre 2025 Auth0 met en place une limite d’une (1) action pour les actions associées aux déclencheurs suivants :
  • custom-phone-provider
  • custom-email-provider
Cette restriction s’applique au point de terminaison Créer une action de Management API (POST/api/v2/actions/actions). Une fois que la nouvelle limite sera entrée en vigueur pour un locataire donné, toute tentative visant à créer plusieurs actions pour ces déclencheurs échouera.

 Flux de courriel de déblocage de la protection contre les attaques par force brute (non personnalisable)

Déconseillée : 9 juin 2025 Fin de vie : 9 décembre 2025 Une version mise à jour du processus de déblocage par courriel pour la Protection contre les attaques par force brute prend en charge la personnalisation et la localisation via la connexion universelle et améliore l’expérience utilisateur dans les cas où les filtres de sécurité des courriels traitent le courriel de déblocage.

Champ fromSandbox dans les réponses d’erreur de l’API d’authentification

Déconseillée : 11 juin 2025 Fin de vie : 11 décembre 2025 Les réponses d’erreur de l’API d’authentification ne renverront plus le champ fromSandbox pour les flux nécessitant l’exécution d’un script de base de données personnalisé. Par exemple, une réponse d’erreur de l’API dans le cadre d’un processus d’inscription d’un utilisateur final pour une connexion de base de données personnalisée ne renverra plus ce champ.

Autoriser l’omission du mot de passe lors des modifications liées à l’hébergeur du fournisseur de courriels SMTP

Déconseillée : 13 mai 2025 Fin de vie : 13 novembre 2025 Lors de la mise à jour de l’hôte, du port ou du nom d’utilisateur d’un fournisseur de courriel SMTP à l’aide d’une requête PATCH adressée à /api/v2/emails/provider endpoint, il peut être nécessaire de saisir un mot de passe dans le champ credentials.smtp_pass. L’objet identifiants d’un fournisseur de courriel SMTP prend en charge les champs suivants :
  • credentials.smtp_pass: Mot de passe du fournisseur de courriel SMTP
  • credentials.smtp_host: Hôte du fournisseur de courriel SMTP
  • credentials.smtp_port: Port du fournisseur de courriel SMTP
  • credentials.smtp_user: Nom d’utilisateur du fournisseur de courriel SMTP
Auth0 exige une valeur explicite pour le champ credentials.smtp_pass dans les cas suivants :
  • Lorsque vous modifiez les champs credentials.smtp_host, credentials.smtp_port ou credentials.smtp_user d’un fournisseur de courriel SMTP en leur attribuant une valeur différente de celle existante, ou lorsque vous ne modifiez qu’une partie de ces trois champs.
Auth0 n’exige pas une valeur explicite pour le champ credentials.smtp_pass dans les cas suivants :
  • Lorsque vous mettez à jour un fournisseur de courriel SMTP et que le corps de la requête contient les mêmes valeurs que celles déjà présentes dans les champs àcredentials.smtp_host, credentials.smtp_port et credentials.smtp_user.

Management API des connexions : pagination par décalage sans restriction

Déconseillée : 29 avril 2025 Fin de vie : 27 octobre 2025 La pagination par décalage utilisée pour le point de terminaison obtenir toutes les connexions de Management API ne permettra plus de récupérer des résultats paginés au-delà des 1 000 premières connexions. Par exemple, le service renverra une réponse d’erreur si page=30&per_page=50 ou page=15&per_page=100 est utilisé. Dans les deux cas, en multipliant le nombre d’enregistrements demandés par page par l’index de la page demandée plus un (pour tenir compte du fait que l’index des pages commence à zéro), on constate que la requête dépasse les 1 000 connexions initiales. D’après ce qui précède, avec une taille de page de 50, le dernier index de page que vous pouvez demander sans erreur est 19 (page=19&per_page=50). Avec une taille de page maximale de 100, vous pouvez demander jusqu’à l’index de page numéro 9 (page=9&per_page=100) Si les conditions dépassent la limite, l’erreur est déclenchée même si le locataire associé à la requête compte moins de 1 000 connexions.

Environnements d’exécution d’extensibilité Node.js 12 et 16

Déconseillée : 10 février 2025 Fin de vie : 15 août 2025 Les environnements d’exécution d’extensibilité Node.js 12 et 16 seront progressivement supprimés dans tous les locataires Auth0. Après leur suppression, toutes les intégrations d’extensibilité, telles que les actions, les règles, les hooks, les connexions personnalisées à des bases de données et les connexions personnalisées aux réseaux sociaux, devront obligatoirement s’exécuter sur Node 22. Pour obtenir des ressources techniques concernant la migration vers Node 22, consulter Migration depuis Node 12 et 16 vers Node 18 et Migration depuis Node 18 vers Node 22.

Nouvelles permissions de Management API requises pour les options de connexion

Déconseillée : 24 octobre 2024 Fin de vie : 8 juillet 2025 Les requêtes adressées aux points de terminaison suivants de Management API nécessiteront la permission read:connections_options pour afficher le champ options : Les requêtes adressées aux points de terminaison suivants de Management API nécessiteront update:connections_options pour modifier le champ options :

Règles et hooks déconseillés

Déconseillée : 16 mai 2023 Transition en lecture seule : 18 novembre 2024 Fin de vie : 18 novembre 2026 Après le 18 novembre 2026, les règles et les hooks cesseront d’être exécutés et seront supprimés. Le 18 novembre 2024, les règles et les hooks actifs continueront à s’exécuter, mais passeront en mode de lecture seule. Auth0 a repoussé la suppression des fonctionnalités Règles et Hooks. Les règles et les hooks en lecture seule peuvent être activés ou désactivés, et leurs valeurs de configuration ou secrets respectifs peuvent être modifiés, mais leur code source ne peut pas être modifié via le tableau de bord ou Management API, y compris à l’aide d’outils CI/CD tels que Terraform et Deploy CLI d’Auth0. Si vous n’arrivez pas à migrer vers Actions avant la mise en lecture seule, vérifiez que les flux CI/CD automatisés que vous avez configurés pour déployer les modifications de configuration des locataires n’essaient pas de réaliser des opérations de gestion non prises en charge sur les règles et les hooks. Pour plus d’informations, consulter Migrer des règles vers les actions et Migrer des hook vers les actions.

Adoption d’une interface utilisateur conforme aux directives WCAG 2.2 niveau AA pour la connexion universelle

Déconseillée : 23 août 2024 Fin de vie : 31 juillet 2025 Auth0 va supprimer la possibilité d’utiliser l’interface utilisateur héritée et non conforme pour la connexion universelle. La nouvelle version conforme aux WCAG garantit que les utilisateurs finaux, y compris ceux qui ont recours à des technologies d’assistance, peuvent accéder au produit ou au service d’un client et l’utiliser. Consulter notre Documentation sur l’accessibilité de la connexion universelle pour plus d’informations.

En apprendre plus